這篇是我不久前在Mobile01 上面 PO的測試文章,在這邊先打預防針,
測試結果不保證適用所有勒索病毒,不過我能拿到的勒索病毒無論新舊幾乎都全用上了:
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)
http://tinyurl.com/gumkfnv
以就算中毒,病毒也無法加密到非系統槽的重要檔案為目標,
然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案,
又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法:
1.使用使用者帳戶:推薦指數 ★★★★★
具體做法為額外創建一個使用者帳戶,
僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用,
這邊以磁碟機 F 槽為例,於 F 槽上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取Authenticated Users→
取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。
日後操作電腦只登入使用者帳戶,而資料都放在磁碟機 F 槽底下;
使用者帳戶若中毒,病毒也無法取得修改權限進行加密。
上述設定若順利完成,會發現若要在 F 槽新增或修改現有檔案時,
會出現要求輸入管理員密碼的使用者帳戶控制彈窗,
(如果電腦只是個人使用,管理員帳戶不設密碼也無所謂)
這時按下「是」即可在 F 槽新增或修改現有檔案。
http://i.imgur.com/epcC9O6.png
2.移除磁碟機代號:推薦指數 ★★★★☆
具體做法以磁碟機為單位,於開始功能鍵上按右鍵進入磁碟管理→
找到想要隱藏的磁碟區按右鍵→點選變更磁碟機代號及路徑→按下「移除」,
當出現確認對話框之後→按下「是」。
如果磁碟機沒有被分配到磁碟機代號,就等於沒有了檔案路徑;
例如將 D 槽磁碟機代號移除,那麼「D:\」路徑便不可使用,
病毒自然也就無法加密「D:\」底下的任何檔案。
若要使用該磁碟機,則開啟磁碟管理→被移除代號的磁碟機上按右鍵點選內容→
安全性→將物件名稱整段複製起來,接著使用「WIN鍵+R」叫出執行功能,
執行剛剛複製的物件名稱內容即可開啟磁碟機。
http://i.imgur.com/Ylc3oQV.png
※ 引述《nifa (沒有人)》之銘言:
: 目前看到的勒索病毒都是在入侵後
: 把多媒體檔文件檔等改名加密鎖死
: 所以突然有個想法想請教各位板友
: 一般來講,它入侵後應該是先搜尋整個硬碟內的檔案
: 然後針對以上類型的副檔名進行全面加密
: 那如果,把系統碟(C槽)以外的其他硬碟(D槽E槽等)加上密碼鎖起來
: 也就是我們自己要用的時候再輸入密碼解鎖
: 可能就是COPY重要資料到那顆硬碟裡這樣
: 然後用完就會自己鎖起來
: 而平常沒有在用的時候,其他硬碟是屬於鎖上的狀態
: 那是不是可以防止在我們不知道的情況下(被偷偷入侵然後掃瞄等)
: 被竄改檔案的機率?
: 會這樣想是因為,一般我們各類型媒體檔或文件通常不會放在系統槽
: 所以當我們要把檔案copy到電腦中時一定是經過自己的動作來寫入
: 那只有進行自己要的動作時才會解開硬碟
: 除此之外,也就是當我們並沒有要對其他硬碟做寫入動作時
: 其他硬碟基本上是密碼鎖起來的
: 而病毒入侵後,需要偵測檔案類型並加密
: 因為入侵通常是從系統碟開始
: 這時因為其他硬碟鎖住,而無法偵測並讀取檔案類型
: 那受到影響的就只會有系統槽的檔案
: 換言之,當發現系統槽的檔案被加密時
: 我最多只要把系統槽重灌,至少不會影響到其他硬碟中的檔案
: 不知道這樣的作法是否可以把受到病毒影響的範圍縮到最小?
: 主要會這樣想是因為,雲端備份通常是一段時間備份一次
: 比較不會去做到隨時隨地備份
: 那中毒時很可能在上次備份到這次作業期間的檔案就會全部被加密
: 但如果用硬碟上鎖的方式,只有自己要寫入時才解鎖
: 這樣也就是說,當我們每次寫入完就會鎖起來
: 對檔案的防護是不是就會比較即時?至少只有系統碟會被影響到而已
: 當然,有些病毒並不是即時上鎖
: 而是會先潛伏一陣子再進行破壞
: 像這種的,如果把上鎖效果加以延伸
: 比如有程式可以針對所有多媒體檔跟文件檔加密
: 自己要變更時再解密
: 這樣是否可以避免未經授權的加密動作去鎖死檔案?
: 再簡單講就是,自己先做加密,讓病毒無法判定檔案類型
: 進而讓病毒無法針對檔案加密。
: 以上純屬好奇,因為本身對這方面沒有研究
: 所以好奇想請問板友不知這方法可行否?